開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン
  • ブームの陰で課題、金融機関のサイバーセキュリティ対策は万全か? 

  • 会員限定
  • 2019/08/29

ブームの陰で課題、金融機関のサイバーセキュリティ対策は万全か? 

大野博堂の金融最前線(2)

東京オリンピック・パラリンピックを来年に控え、金融機関におけるサイバーセキュリティ対策は待ったなしの状況にある。国際的イベントにはハッカーによるサイバー攻撃が付き物だからだ。G20からプレッシャーを受ける金融庁も、金融機関への行政指導を従前にも増して厳格化しつつある。他方、内部リソースが限定される地域金融機関では、少人数での対応を余儀なくされており、何が最善の答えなのかを暗中模索しているのが実態だ。このような中、金融庁ではトップダウンアプローチにより金融機関の体制整備を促している。

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

93年早稲田大学卒後、NTTデータ通信(現NTTデータ)入社。金融派生商品のプライシングシステムの企画などに従事。大蔵省大臣官房総合政策課でマクロ経済分析を担当した後、2006年からNTTデータ経営研究所。経営コンサルタントとして金融政策の調査・分析に従事するほか、自治体の政策アドバイザーを務めるなど、地域公共政策も担う。著書に「金融機関のためのサイバーセキュリティとBCPの実務」「AIが変える2025年の銀行業務」など。

画像
国際的なイベントではテロやサイバー犯罪のリスクが高まる
(Photo/Getty Images)


そもそもシステムリスクアセスメントが実施されていない

 FISCでは「金融機関のためのコンティンジェンシープラン策定のための手引書」を公表しており、金融機関は当該手引書を用いたリスクアセスメント作業を要請されている。

 FISCでは金融機関を取り巻くリスクを原因系に着目し、「内部起因のリスク」「外部起因のリスク」と峻別して定義。それぞれの発生確率やリスク発現時に金融機関が受ける影響の大きさを評価するよう促している。

 発生確率が高く、影響が甚大なリスクについては優先的に対応方針を整えることになるのだが、中には「10年前に実施したアセスメント結果をそのまま採用している」といった金融機関もみられるのが実態だ。

 すなわち、リスクアセスメントが陳腐化した結果、リスクへの対応がおざなりになってしまっている。

 金融機関が利用するITシステムは多岐にわたり、多くはIT部門が直轄で管理下に置いている。これらはIT資産台帳にも掲載され、管理対象として厳格視されている。

 ところが昨今、業務部門や営業部門が外部のフィンテックベンチャーなどとダイレクトに契約を締結し、当該企業が提供するソリューションを利用する、といった形態が一般化している。これらのソリューションは顧客と金融機関との間に位置付けられ、顧客情報が流通するにも拘わらず、IT部門が関与しないケースもあるようだ。

 結果として従前のITシステムのように「厳格な管理対象」として見なされず、セキュリティチェックも外形的なものにとどまっている可能性が否めない。

画像
セキュリティチェックが外形的なものにとどまっていないか確認する必要がある
(Photo/Getty Images)

接続先事業者や業務委託先のセキュリティレベルは確認しているか

 金融機関が提携するフィンテック企業は、創業からの日も浅く、内部体制も必ずしも充実しているとはいえない企業も少なくない。ところが、フィンテックブームの熱狂の中で、与信管理どころか「信用情報」の捕捉にも問題が生じている。

 黎明期の企業ではラウンドといった形で資本政策が短期間で進捗し、資本関係はもとより、実質支配者を捕捉することも困難になりかねない。

 金銭消費貸借契約における財務制限条項のように、「何かあったらアラームが鳴るように」といった対応や、期末時点でのデルタ(変化内容)の報告受領、といった情報収集の頻度では心もとない。

 「真の経営者は誰なのか?」といった点も含め、提携先ベンチャー企業の継続チェックは金融機関として欠かせないミッションとなっている。

 これらはサイバーセキュリティどころか信用リスク管理の問題なのだが、意外と見過ごされてしまっているのが実態だ。

 金融庁もこの点は憂慮しているようで、昨今では「サードパーティーリスク対応」といった視点でこうした動きに警鐘を鳴らしつつある。

 これまでフィンテックの活用を推進する立場一辺倒であった当局も、ようやく行き過ぎたフィーバーの是正に動き出した、といったところだろう(サードパーティーリスク対応については別の機会に論じてみたい)。

【次ページ】そのマニュアルはいつ策定したのか?

トピックス

IT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!